Кибербезопасность — страница 17

ВАЖНОЕ. ПРО МОШЕННИКОВ.Я регулярно вычищаю из комментариев и подписок канала подозрительные аккаунты и сообщения. Достаточно хорошо изучила, что может быть опасно и как может быть опасно.Сейчас расскажу некоторые важные правила.Если вы заметили даже в дружественном чатике/комментариях канала предложение поделиться какой-то книгой (даже если она в тему поста), каким-нибудь бесплатным или слитым курсом, ссылкой на что-то полезное, отвечаем:СПАСИБО ЗА НАВОДКУ, Я НАЙДУ САМ/САМА.Отвечаем так, даже если аккаунт, который это предлагает, вам знаком и вы давно общаетесь в комментариях. Никто не может гарантировать, что учетную запись этого человека не угнали.С помощью таких "заманух" с чем-то бесплатным действуют мошенники-скамеры. Их цель заставить вас перейти в личку и открыть там присланную ссылку или файл.Примерно таким же образом действуют мошенники, которые предлагают заработать. Комментарий может не содержать ссылку, в нем может быть приписка "пишите в личку". ИГНОРИРУЕМ. Никогда не открывайте никакие ссылки, боты, документы, файлы, которые вам прислали с незнакомого аккаунта.Давайте перефразирую без частицы НЕ: ИГНОРИРУЙТЕ ЛЮБЫЕ ССЫЛКИ, БОТЫ, ДОКУМЕНТЫ, ФАЙЛЫ, КОТОРЫЕ ВАМ ПРИСАЛИ С НЕЗНАКОМОГО ИЛИ МАЛОЗНАКОМОГО АККАУНТА.Обычно по ссылке или в файле содержится вредоносное программное обеспечение, а проще говоря вирус, который упрет у вас все, что ему нужно. Вплоть до доступа к Госуслугам. Есть вариант, когда посторонний аккаунт присылает вам файл, допустим, с фото и вопросом "это ты на фото?! Че за жесть" и прочее. Блокируем и отправляем жалобу, без лишнего политеса. ПОВТОРЮ: ИГНОРИРУЕМ ЛЮБЫЕ ССЫЛКИ И ФАЙЛЫ ОТ НЕЗНАКОМЫХ И МАЛОЗНАКОМЫХ АККАУНТОВ. Плюс можно забанить и кинуть жалобу на спам. Если вас заинтересовал собеседник в комментариях, вы тыцнули посмотреть на описание его аккаунта, а там светится ссылка на канал (прямо в виде ссылки, которая светится синим) или на сайт, то поостерегитесь переходить.Если у человека есть свой канал, он может привязать его адекватным способом к аккаунту. Скриншот, как это выглядит, на примере моего основного аккаунта в комментариях Не сообщаем никаких кодов ни из каких СМС. НИКОМУ. Сейчас мошенники умеют взламывать, например, аккаунты различных маркетплейсов, онлайн магазинов и переписываться с человеком от их имени в разных мессенджерах, не только в СМС. То есть буквально в той переписке, в которой раньше вам магазин присылал сведения о заказе, например.Если что-то резко поменялось, допустим, раньше надо было сообщить код курьеру при получении посылки, а сейчас вдруг просят сказать его по телефону, когда вам позвонят, ИГНОРИРУЙТЕ. Идите выясняйте на сайт маркетплейса/магазина, что происходит, звоните на горячую линию и уточняйте, что происходит.Если еще следом прилетает СМС или сообщение с номером телефона горячей линии. Мол, ваш аккаунт взломали или попытались войти с другого устройства, если это не вы, то пройдите по ссылке или позвоните по номеру, ИГНОРИРУЙТЕ. Идите и РУЧКАМИ через поисковики ищите горячую линию магазина, сайта Госуслуги, Банка. Проверяйте, чтобы в поисковике нужный сайт был отмечен. В Яндексе это синий кружочек с белой галочкой. Он означает, что сайт настоящий. Будьте бдительны! Если есть что-то важное добавить по теме или знаете еще какие-то мошеннические ухищрения, поделитесь в комментариях.

👺 Госмессенджеры наступают: отчисления, утечки и тотальный сбор данныхНа днях из Екатеринбурга пришла новость о том, что мессенджер Max настолько популярен среди местных студентов, что их заставили написать заявления об отчислении по собственному желанию за отказ его устанавливать:Я принципиально отказываюсь устанавливать платформу — мессенджер MAX для получения официальной информации по организации образовательного процесса, несмотря на приказ Министерства просвещения РФ. Данный факт свидетельствует о том, что к образовательному процессу, в котором я учусь, не имею отношения. Прошу отчислить меня из колледжа по собственному желанию.Госмессенджер, похоже, не очень популярен, несмотря на громкие заявления об аудитории, выросшей до 45 млн человек. Судите сами: аудитория Telegram в России составляет 100 млн пользователей, при этом, например, на группу в Max краснодарского Telegram-канала «Туподар» (56 тыс. подписчиков) подписались всего 500 человек, столько же людей подписалось и на Max-группу портала 93.ru, в Telegram-канале которого 30 тысяч человек.Интересна и новость об утечке данных мессенджера Max: пользователь с ником Titusko25357 на форуме в даркнете заявил, что получил доступ ко всем данным пользователей госмессенджера: «У меня есть полный дамп max.ru, там ровно 46 203 590 строк». В издании «Компьютерра» отметили, что «в опубликованных образцах содержатся имена, телефоны, идентификаторы профилей, а также поля, указывающие на интеграцию с „Госуслугами“». Впрочем, в пресс-службе Max факт взлома отрицают и называют фейком.Впрочем, Max — не единственный метод сбора данных о сетевой активности россиян. Сейчас многие активно рекламируют новый Telegram-клиент под названием «Telega», который позиционируется как «надёжное приложение, в котором удобно звонить, вести переписки и организовывать чаты для общения». Его установили уже больше 100 тысяч пользователей, а на днях его проанализировали на «Хабре», в результате чего вскрылось немало интересных деталей.Так, в «Телеге» нет приватности — мессенджер собирает данные о всех действиях пользователя, и отправляет в VK, привязав к ID пользователя. А функция «бесплатного прокси» полностью контролируется владельцами приложения, то есть используя прокси клиент просто передаёт весь свой трафик третьим лицам. Автор исследования резюмирует:«Telega» — это не просто очередной мессенджер. Это комбайн по сбору пользовательских данных для VK, который к тому же содержит в себе заготовки для цензуры, а его официальные заявления не выдерживают критики и опровергаются техническими фактами.(п)одписаться 📰

Совершенно случайно попался на глаза довольно неплохой ресурс, который агрегирует утечки данных по почтовым адресам, доменам, телефонам, псевдонимам и т.п. Насколько он популярен, не берусь судить — я таким безобразием занимаюсь от случая к случаю.В отличие от привычных отечественных ресурсов, он содержит массу полезной информации по иностранным утечкам / утечкам данных иностранных сервисов. Удобный API для интеграции и довольно демократичные цены. https://antipublic.net/#источники #api

Почему блокируют ТГ и ВА и можно ли пользоваться мессенджерами бизнесу и экспертам?Очень много интерпретаций этих новостей, вплоть до таких поворотов, что юристы пишут, что ТГ и ВА пользоваться нельзя (пишут, разумеется, в ТГ и ВА), но альтернатив не дают)Блокировка в некоторых регионах связана с плановыми работами в настройке технических средств противодействия угрозам (ТСПУ)Является ли это запретом на использование? НетВы по-прежнему законно можете вести блог в ТГ, общаться с клиентами в ВА / ТГ, пользоваться ботами, если у вас частный бизнесПолное ограничение в использовании ТГ мессенджера и ВА касается только конкретных организаций из спискаМожно задать свои вопросы по поводу бота, переписки в мессенджерах с клиентами, с радостью отвечу в комментариях

В инстаграм* продолжается настоящий террор блогеров-миллионников. За последние 2 месяца угнали аккаунты Иды Галич, Блиновской, Бородиной, Оксаны Самойловой, Бузовой и вроде кого-то еще. Суммарно их аудитории почти под 100 млн подписчиков. С украденных аккаунтов проводят розыгрыши, где кидают людей на деньги. Я сначала удивилась, что кто-то ведется, а потом вспомнила, что блогеры годами кормили свою аудиторию гивами и прочими механиками для набора охватов, что у людей совершенно испарилось критическое мышление. Ида записала подробный разбор схемы мошенников. Тот случай, когда не спасает двухэтапная аутентификация, но все равно не пренебрегаем базовыми методами защиты своих аккаунтов.* запрещен в РФ

Держите кошмарное кино на ночь.Как работает спуфинг при дефолтных настройках Arduplane. Обратите внимание на горизонт. В Stab режиме пересилить кривую стабилизацию можно (другой вариант - в Manal/Acro перейти). Что было бы при посадке VTOLа - сами догадаетесь.Что же делать если попали в спуфинг? Пока не завершены исследования - полной инструкции по настройке параметров и действий не будет, а может и вообще не будет для всех.Однако некоторые намеки по вопросу "что делать":1. Вывести отключение использования GNSS на пульт, параметр RCx_OPTION = 65. Но помните, что надо успеть отключить использование GNSS до перехода приемника на спуфинговые координаты. Иначе - не поможет, будет как в видео (проверили).2. Отключить поправки по высоте от GNSS AHRS_GPS_GAIN = 0. Cамолет/коптер теперь не должен уйти в землю, подсчитав что летит на 10 км3. См. еще EKF Failsafe и GPS Glitchhttps://ardupilot.org/copter/docs/ekf-inav-failsafe.htmlhttps://ardupilot.org/copter/docs/gps-failsafe-glitch-protection.html

Gartner назвал 10 стратегических технологических трендов 2026 года2026 станет переломным годом: инновации, риски и скорость изменений выходят на новый уровень. Gartner называет эти тренды не просто технологиями — это катализаторы бизнес-трансформации, требующие решений на уровне CEO и совета директоров.Все тенденции объединены в три ключевые темы:Architect (построение основ), Synthesist (синтез технологий) и Vanguard (доверие и защита).1️⃣ AI-native development platformsИИ теперь сам пишет код.Gartner прогнозирует, что к 2030 году 80% крупных команд разработчиков превратятся в “tiny teams”, усиленные ИИ-инструментами.А 40% корпоративных приложений будут создаваться на AI-native платформах (против 2% в 2025).Эти платформы позволяют командам из двух человек создавать столько же софта, сколько раньше делали десятки. 2️⃣ AI supercomputing platformsИИ-модели становятся слишком большими для традиционной инфраструктуры.К 2028 году:⏺40% компаний перейдут на гибридные архитектуры (сейчас только 8%),⏺20+ поставщиков запустят суперкомпьютерные платформы для ИИ. Это даст мощность для симуляций, квантовых вычислений, робототехники и биоинженерии. 3️⃣ Confidential computingБезопасность данных «в использовании» становится обязательной.К 2029 году 75% обработки данных в недоверенных инфраструктурах будет защищено конфиденциальными вычислениями.Это ответ на растущие требования по приватности и локализации данных. 4️⃣ Multiagent systems (MAS)ИИ больше не одиночка. Теперь им управляют сотни специализированных агентов, работающих в связке.С 2024 по 2025 число запросов к Gartner по MAS выросло на 1445%.К 2028 году:⏺70% MAS будут использовать узкоспециализированных агентов,⏺60% — обеспечат мультивендорную совместимость. Это переход к “интернету агентов”.5️⃣ Domain-Specific Language Models (DSLMs)Эпоха “универсальных LLM” заканчивается. На смену приходят узкопрофильные модели для конкретных отраслей.К 2028 году:⏺30% корпоративных GenAI-моделей станут доменными,⏺60% рабочих нагрузок будут выполняться на таких моделях локально или на устройствах, а не в облаке. Это решает проблемы точности, приватности и соответствия регуляциям.6️⃣ Physical AIИИ выходит в реальный мир — в роботов, дроны, автономные машины.К 2028 году 80% складов будут использовать робототехнику или автоматизацию.Пять из десяти крупнейших ИИ-вендоров запустят продукты Physical AI.7️⃣ Preemptive cybersecurityБезопасность «на опережение».К 2030 году:⏺50% расходов на софт безопасности будут приходиться на проактивные решения,⏺количество уязвимостей превысит 1 млн в год. Системы будут не ждать атак, а предугадывать и блокировать их заранее.8️⃣ Digital provenanceДоказуемое происхождение данных, медиа и кода.Регуляторы (включая EU AI Act) уже требуют водяные знаки и BOM (bill of materials) для контента, созданного ИИ.Это защита от дипфейков, подделок и атак на доверие.9️⃣ AI security platformsКомплексные платформы защиты ИИ-приложений.К 2028 году:⏺80% компаний внедрят такие платформы,⏺более 50% инцидентов будут связаны не с внешними атаками, а с внутренними нарушениями политик ИИ. Эти решения обеспечивают защиту от prompt injection, утечек данных и “бунта” агентов.🔟 GeopatriationНовый термин от Gartner — «геопатриация»: перенос критичных рабочих нагрузок из глобальных облаков в локальные или суверенные среды.К 2030 году 75% компаний перейдут на такие модели, снижая геополитические риски.Облачные гиганты уже разворачивают суверенные регионы для клиентов, обеспокоенных безопасностью и регуляторикой.📊 Главный инсайт Gartner: «В 2026-м ни одна способность больше не будет достаточной сама по себе. Успех обеспечит синтез технологий, а не отдельные инновации.»Полный отчет ниже 👇#саммариметапринера

Сканер уязвимостей pysentryPython таки продолжает ржаветь. Растовчане добрались и до safety, написав ему блейзингли фаст заменуРаботает и правда очень быстро, тот же safety дольше --help выводит. Но на одном из репозиториев они оба показали разные результаты, safety нашел больше. Надо будет еще покопать примеры, посравнивать. Возможно дело в настройке, но сходу ничего такого не нашел. Да и приятней, когда все на максимум работает из коробки🔥 - кто пользуется pysentry❤️ - кто пользуется safetyЕсли пользуетесь чем-то другим, напишите в комменты, обсудимhttps://github.com/nyudenkov/pysentry

Gartner Топ 10 Стратегических технологических трендов 2026И хотя отчеты Гартнер десятилетней давности подвергаются критике, они остаются одними из самых ожидаемых для осмысления технологического развития. Тренды этого года отражают реалии мира, управляемого искусственным интеллектом и характеризующегося гиперсвязанностью, где одной единственной возможности недостаточно. Они организованы в три темы, которые определяют, как ведущие организации будут внедрять инновации, конкурировать и защищать ценность:1️⃣АрхитекторДля ускорения инноваций и повышения устойчивости технологические лидеры должны модернизировать платформы и инфраструктуру.Тренды Архитектора фокусируются на создании готовых к ИИ инфраструктурных решений, которые обеспечивают скорость, безопасность и масштабируемость.Три ключевых тренда этой группы: 1. Создание ИИ платформ разработки (от точечных решений до вайб-кодинга). 40% корп платформ к 2030 (сейчас 2%) будут использовать модули, написанные ИИ. 80% компаний к 2030 году перейдут от больших команд разработки компактным командам из 2-3 разработчиков +ии2. Суперкомпьютерные платформы ИИ Суперкомпьютерные платформы ИИ обеспечивают огромную вычислительную мощность, необходимую для обучения и запуска продвинутых моделей ИИ. 3. Конфиденциальность данныхИспользование доверенных сред выполнения на основе аппаратного обеспечения (TEE) для защиты данных во время обработки, предотвращее несанкционированный доступ — даже со стороны облачных провайдеров.2️⃣"Синтезатор"Оркестрация различных технологий — от мультиагентных систем до доменно-специфических языковых моделей и физического ИИ — для разблокирования новых источников ценности.Три тренда в этой группе: 1. Мультиагентные системы (MAS) используют коллекции специализированных агентов ИИ, которые сотрудничают для выполнения сложных рабочих процессов. Каждый агент обрабатывает конкретную задачу, улучшая эффективность и масштабируемость по сравнению с монолитными решениями ИИ.2. Доменно-специфические языковые модели (DSLM) — это модели ИИ, обученные на специализированных наборах данных для конкретных отраслей или бизнес-функций, обеспечивающие более высокую точность и соответствие, чем универсальные большие языковые модели (LLM).3. Физический ИИ - это проникновение ИИ в физический мир через роботов, транспортные средства, дроны, умные устройства и др. 3️⃣Авангард - на передовойПовышение доверия, управления и безопасности через упреждающую кибербезопасность, цифровое происхождение, платформы безопасности ИИ и геопатриацию.Тут 4 тренда: 1. Упреждающая кибербезопасность (PCS) использует продвинутые техники на основе ИИ для прогнозирования, срыва и нейтрализации кибератак до их осуществления — выходя за рамки традиционного обнаружения и реагирования.2. Установление цифрового происхождения Это проверка подлинности источника и целостности программного обеспечения, данных и медиафайлов с помощью таких инструментов, как реестры компонентов (BOM), базы данных аттестации и цифровые водяные знаки. Он обеспечивает прозрачность и доверие к системам, построенным на сторонних компонентах и контенте, созданном искусственным интеллектом.3. Платформы безопасности ИИ (AISP) консолидируют средства контроля для защиты как сторонних сервисов ИИ, так и пользовательских приложений ИИ. Они решают риски, специфичные для ИИ, такие как внедрение промптов, действия непослушных агентов и утечка данных.4. Геопатриация — это перемещение рабочих нагрузок из глобальных гипермасштабируемых облаков в суверенные или локальные среды для снижения геополитического риска. Это включает стратегии, такие как развертывание в суверенных облачных регионах или репатриация рабочих нагрузок в собственные дата-центры.Для общего представления о том, на что коллеги из Гартнер предлагают делать ставку - этого достаточно. В самом документе - интересные инсайты к каждому разделу. Если кому-то нужен будет развернутый вариант - макните в личку - расскажу где взять.

Полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей. Звучит? А ведь это всего лишь расшифровка аббревиатуры CAPTCHA, которую все мы проходим уже 25 лет (за исключением тех, кто мегамолод мегамолот). Капчу в 2000 году придумал юный гватемалец Луис фон Ан вместе с профессором Блумом. Сейчас фон Ан долларовый миллиардер, но не из-за капчи, а благодаря своей компании Duolingo. Получается, сам кайнд оф гений какой-то. Но с Луисом разберёмся позже, ведь это пост о капче, которая по сути является (кому?) обратным тестом Тьюринга. Не люди экзаменуют машину, а наоборот. Сначала капча была текстовой, и уже тогда у меня с ней возникали проблемы. А когда гугл заставлял угадывать картинки, тут я часто проигрывал, ведь кусок шины от велосипеда или палка от светофора — это как, велосипед, светофор или что вообще.Потом появилась рекапча — интересная, между прочим, штука. С помощью неё, оказывается, мы помогали расшифровывать и оцифровывать старые печатные книги, с которыми не справлялась OCR — система оптического распознавания символов. Рекапчу купил Google и принялся оцифровывать все книги мира. Тут и Борхес бы открыл рот от удивления, но он давно помер — за неделю до того, как Марадона забил знаменитый гол.Сейчас в основном используется гениальная Ноукапча Рекапча (ну да NoCAPTCHA reCAPTCHA). Надо просто поставить галочку, что вы человек. Система анализирует, как вы двигаете курсором — и точно определяет, органика вы или синтетика. Этот тест я люблю больше всего 👾

Товарищи, все на планёрку!В экосистеме канала зафиксирован хомо Несапиенс обыкновенный — существо из отряда Разводящих и семейства Мошенниковых.Обитает в личках, питается доверием и невнимательностью,размножается через фразу:«Здравствуйте. Прочел ваш комментарий»Дальше, как правило, следует ритуальный танец фразами «как ваши дела» и «можно задать вопрос».В этот момент лучше не двигаться — видит активность и кидает ссылку.Внешний вид:аватар невнятного цвета, глаза пустые, в руках — копипаста.Передвигается по чьим-нибудь подписчикам короткими прыжками.Рекомендуется не вступать в диалог и держаться на расстоянии, в крайнем случае разрешается кинуть сформулированным подъёбом. Самый распространённый метод борьбы с этими существами — забанить.На скрине представлен один из ярких представителей.Редкий случай, когда мутация «долбаёб» проявилась во всей красе (видно по словам «паблик А+Штош»)Похоже, находится в фазе гона и ищет новую жертву для спаривания через комментарии.Вывод:угроза для популяции подписчиков сохраняется.Храните бдительность, логин и пароль.И на всякий случай приготовьте ссаные тряпки!🔪

О нашей с вами безопасности теперь заботятся ещё сильнее, что несомненно радостноТеперь, если вам по СМС придёт код, похожий на код авторизации госуслуг или банка (вероятно, вообще любая СМС, содержащая 4-6 цифр), а потом в течение короткого времени вам поступит звонок - оператор в соответствии с новым каким-то там ФЗ для вашей же безопасности отключит вам на неопределённое время все входящие и исходящие звонки.Обращения в поддержку не помогут. Испытал на себе на неделе аж два раза, и нахожусь в полном восторге.Мне кажется, такой топорный алгоритм, помимо очевидных неудобств для пользователей, обязательно будет использован злоумышленниками. Возможность оставить кого угодно когда угодно без связи - это сильное орудие в руках преступника.Надо что-то поумнее придумать операторам, как мне кажется.

В X (Twitter) активно предпринимают попытки заменить классическую рекомендательную систему языковой моделью (Grok). Как я понимаю, этот процесс длится уже какое-то время. Судя по твиту, подвижки есть (или нет?). Жаль, что ребята из твиттера статьи не пишут, и мы вероятно не скоро узнаем какие-либо технические подробности этого процесса :)

Кибератака на Mango: что важно знать fashion-бизнесуИспанский бренд Mango столкнулся с утечкой персональных данных клиентов. Причина — атака на внешнего подрядчика, управлявшего маркетинговыми базами. Хакеры получили доступ к:➡️ имени,➡️ стране,➡️ почтовому индексу,➡️ email,➡️ номеру телефона.💳 Важно: банковские данные и пароли не пострадали.Компания оперативно уведомила клиентов и регулятора (AEPD), активировала протоколы безопасности и заявила, что ее внутренние системы не были взломаны.❗️ Mango рекомендует клиентам быть осторожными с подозрительными письмами и звонками.📈 На фоне инцидента бренд продолжает развитие — в планах открыть около 20 новых магазинов молодежной одежды.#разборновости #fashionбизнес #фэшнканал

Альфа банк бизнес, ежегодно просят менять пароль (инфобезопасность, ага).Вот этот пароль — небезопасен по их мнению:a.{i=dG0J+6A`N,gOn/9Me=t%():hh?w^MЧтобы сделать его безопаснее, надо просто удалить из него часть спецсимволов. Вот этот пароль принимается — он безопаснее, потому что из него удалены некоторые спецсимволы:a.idG0J6AN,gOn9Met%hhw^MАльфа банк, безопасники, вот вас откуда таких берут-то, а? Оттуда же, откуда и сбер, яндекс, cloud.ru, да? По объявлению?Чуваки, ну вы кончайте, ну кончайте, ну нельзя так, ну вы там познакомьтесь маленько с комбинаторикой, ну хорошая штука, ну правда! Хеширование паролей ещё есть такая методика, оно, конечно, уже совсем для продвинутых...

Истории поддерживают безопасностьНедавно на мастер-классе для специалистов по информационной безопасности мне прилетел прекрасный вопрос: «Артём, а как помочь людям помнить о безопасном поведении, если у нас ничего пока не ломалось?»В качестве ответа мне вспомнилась история из книги «Мастер историй», которой я с удовольствием поделюсь с вами:Как-то раз на регулярной встрече компании в большом конференц-зале слово взяла HR директор. С торжеством в голосе она заявила: «А вы знаете, что наша команда с западного побережья запускает самый масштабный проект за десять лет? Новая технология увеличит производительность продукта на 10%! Это огромный прорыв!»В зале раздались аплодисменты. HRD продолжила: «Знаете ли вы, что мы получили дополнительные средства из главного офиса и через три недели удвоим скидки для покупателей, чтобы выполнить план продаж?». И вновь прозвучали бурные аплодисменты.Когда овации стихли, она продолжила: «Знаете ли вы, что мы отменили часть запланированной на осень рекламы и направили сэкономленные средства на рассылку образцов улучшенного продукта нашим клиентам по всей стране?». Снова прозвучали аплодисменты и поздравления.После еще нескольких примеров, которые вызывали бурные овации, HRD взяла паузу, а затем куда более спокойным тоном твердо сказала: «Ни о чем из вышеперечисленного я не знала, пока вчера в 10 вечера не прошлась по открытому офису и не прочитала некоторые из заметок, оставленные на столах, а также в принтерах и факсах».Приподнятое настроение в зале сменилось неловким молчанием. Она продолжила: «Представьте, какими могли бы быть последствия для компании, если бы эта информация попала к нашим конкурентам? Как вы думаете, зная наши планы, им было бы проще предпринять грамотные шаги на перерез?»В ответ люди виновато закивали. HR закончила: «У нас в компании не просто так принята политика «чистых столов». Пожалуйста, следите за тем, чтобы наши секреты так и остались секретами».HR не просто рассказала историю – она дала ее прожить, причем не указывая пальцами не конкретных людей. Со следующего дня факты нарушения установленных правил значительно сократились.Конечно, это история совсем не про информационную безопасность, но мой собеседник и другие участники отлично поняли аналогию.Я не раз замечал, что люди игнорируют правила информационной безопасности, пока не услышат или не проживут реальную ситуацию, обостряющую важность этой темы.Поэтому когда меня пригласили выступить на конференции Cyber Camp, я с радостью согласился поделиться знаниями на эту тему!Если вам интересна тема кибербезопасности, очень рекомендую заглянуть на это мероприятие – будет очень много полезного😊

☺️КЛЮЧИ НЕ ТЕРЯЛИ?📜На DEX-платформе Hyperliquid на той неделе случился достаточно громкий инцидент: хакеры получили доступ к приватному ключу крупного трейдера сразу после закрытия ордера — и унесли порядка $20–21M. Основная часть стейблов ($DAI и другие) была быстро переброшена на Ethereum/Arbitrum и распределена по нескольким адресам. ⏸Как это выглядело: Трейдер закрыл большой лонг — порядка $16M в позиции $HYPE и конвертировал часть в стейблы. Практически сразу после закрытия и продажи кошёлок оказался скомпрометирован: злоумышленник подписал транзакции и перелил примерно 17.7M $DAI + ~3.1M $MSYRUPUSDP на ETH-сеть, а затем пустил через новые адреса (1, 2) чтобы запутать след. Это был не баг Hyperliquid, а утечка приватного ключа у пользователя. ⏸Что важно знать:🟠Инцидент показал классическую проблему self-custody (единоличное хранение ключей): неважно, насколько продвинуто децентрализованное приложение — если приватный ключ утекает, деньги уходят мгновенно. 🟠Переводы были оперативно брошены на Arbitrum/Ethereum и частично обменяны ($USDC→$DAI), что усложнило отслеживание и повысило шанс вывода на CEX. 🔅Совет: Делите кошельки на торговые и холодные: держите под DEX-активности только ту сумму, с которой готовы расстаться в секунду. Никогда не храните сид-фразы/ключи в облаке или в незашифрованных заметках, используйте аппаратные кошельки и мультиподпись для крупных позиций. ➡️Что делаешь, если видишь, что кит начинает странно перемещать активы?🦄 — Сижу в лонге: это шанс зафронтранить движение.🐳 — Отхожу в кэш, ведь безопасность превыше всего.🔥 — После сквиза в эти выходные, я уже ничего не могу делать.#БлокчейнФейлыНаш обменник | Закрытое сообщество | MEXC

Nanny-state-ом называют чрезмерно заботливые государства, которые стремятся объяснить «глупым» гражданам, чего именно они хотят. В нашей культурной среде есть ещё образ «Железной Няни» (да, из Смешариков), который добавляет к этой метафоре технологический слой. Я бы добавил ещё один — возрастной. «Железная Бабушка» — вот это уже актуально и для Китая, и для ЕС, и для постсоветского пространства.«Старение элит» — моя главная гипотеза, почему в 2020-х мы увидели столько разных государств, предпринимающих примерно одно и то же — контроль интернета. Эти элиты — плоть от плоти доцифровой эпохи. Пожертвовать какими-то сетевыми свободами ради безопасности «внуков» для них так же естественно, как для вашей бабушки — волноваться, что вы слишком много сидите в телефоне.Обычным людям, не входящим в властные цепочки (для которых всегда найдётся исключение), и не преступникам (эти естественным отбором найдут лазейки), остаётся лишь тихий саботаж контроля — отвоёвывание пространства свободы внутри киберпространства. Но тут возникает другая проблема: без технических знаний это действительно сложно. Хочешь поставить простой VPN, чтобы обходить блокировки? Придётся полностью доверять провайдеру и — что ещё сложнее — его технической и организационной компетенции. Потому что через пару лет может выясниться, что это был honeypot для сбора списков любителей запрещённой информации.📎 Tor — https://www.torproject.orgПроверено временем. Можно установить Tor Browser, можно открыть приватную вкладку с Tor в Brave, есть Orbot для телефона. Если рядом вы увидите комментарии прожжённых privacy-freak'ов, что «не всё так однозначно», помните: это решение на голову выше любого частного VPN. А если включить *obfs4*, трафик будет ещё и неплохо обфусцирован. Если дождаться, когда новый «Tor VPN» выйдет из беты, то каждое приложение сможет иметь свою цепочку анонимизации и отдельную обфускацию, что усложнит отслеживание на порядки.📎 Nym — https://nym.com/Главная проблема почти всех технологий приватности — метаданные. Возьмём, к примеру, Signal: мы должны доверять, что он не сохраняет социальный граф и не передаёт его третьим лицам. Это лучше, чем Telegram (где мы вообще верим Паше на слово), но всё равно не идеально. Mixnet — это попытка решить проблему через перемешивание всех пакетов внутри сети. Это не бесплатно: мы расплачиваемся скоростью, но, на мой взгляд, это самое важное направление из всех, ведь ни одно другое решение, которое мне известно, даже не стремится к полному trustless-подходу.📎 Briar — https://briarproject.orgКогда я думаю о тысячах политических организаций по всему миру, находящихся под прицелом госструктур, но координирующихся через Telegram или WhatsApp — мне становится плохо. Я начинаю задумываться, насколько далеко криптографически выверенные решения от людей, для которых они создаются. Но спасибо нашему времени — оно, похоже, скоро всем объяснит, почему нужно быть аккуратнее. Поэтому рекомендую своего фаворита — мессенджер, который гораздо продвинутее недавней «подделки Дорси», прокатившейся по новостям.У нас тут p2p (Bluetooth, Wi-Fi, Tor), у нас e2e-шифрование, групповые чаты и даже каналы!ЗаключениеЯ не согласен с распространённым мнением о «смерти приватности». Просто раньше она была доступна каждому, а теперь это скорее роскошь для энтузиастов. Но с ростом давления таких энтузиастов становится всё больше, а порог входа — всё ниже. Поэтому «Железная Бабушка» — это одновременно и проблема, и возможность. Если завтра в ЕС проголосуют за запрет e2e-шифрования, то уже через пару лет многие осознают, насколько важно, чтобы их переписку не читал ни майор, ни жандарм, ни гауптман.

Многие компании рассылают своим сотрудникам фишинговые емейлы - типа, кликнул по ссылке, и на тебя навязывают обязательный тренинг (иногда - на всю команду, чтобы они тебя деклассировали за такую подставу).У нас тоже такое есть. Причем безопасники генерировали для нас персональные ссылки, чтобы было понятно, кто залетел. У нас чувак как–то эти ссылки дешифровал - там банальный алгоритм был, он нагенерил ссылки с логинами самих безопасников и протыкал их. Приятно было видеть, как алгоритм сменили уже в следующей рассылке.

Wi-Fi как тотальный шпион: исследователи Технологического института Карлсруэ (Германия) разработали новую технологию распознавания людей на основе электромагнитных сигналов сети Wi-Fi, которая может стать общенациональной инфраструктурой наблюдения. Руководитель разработки, профессор Торстен Штруфе из Технологического института Карлсруэ, объяснил, что для идентификации людей не нужно, чтоы они имели при себе смартфон или планшет с включенным Wi-Fi, достаточно, чтобы устройства #WiFi в их непосредственной близости взаимодействовали друг с другом. Информация от устройств Wi-Fi позволяет создать изображение движущегося человека, сравнимое с изображением с видеокамеры, но основанное на радиоволнах.В отличие от датчиков LIDAR или методов анализа сигнала Wi-Fi при его прохождении через стены, новый метод работает с законно подключенными стандартными устройствами Wi-Fi. Роутеры регулярно отправляют сигналы обратной связи, необходимые для формирования #электромагнитного луча, на маршрутизатор в сети - эти сигналы незашифрованные и читаемые для третьих лиц. Обобщенные данные позволяют создать изображения с разных ракурсов и идентифицировать человека за несколько секунд.В исследовании с участием 197 участников исследовательская группа смогла распознать людей почти со 100% точностью - независимо от их стиля ходьбы или перспективы.«Вездесущие беспроводные сети могут стать почти общенациональной инфраструктурой наблюдения» - профессор Торстен Штруфе: Wi-Fi теперь доступен почти во всех домах, офисах, ресторанах и общественных местах Германии. Любой, кто проходит мимо кафе с Wi-Fi, может быть опознан без специального оборудования при использовании технологии профессора Штруфе. В резюме своего отчета ученые из Карлсруэ предупреждают о рисках конфиденциальности и призывают к защитным мерам электромагнитной #безопасности. https://www.informatik.kit.edu/english/11147_14950.php

#ИБ 2024Стеганографические методы защиты информацииАвтор: Г. А. ЕмельяновСтеганография — наука о скрытой передаче информации. Различные методы и средства стеганографии применяют специалисты спецслужб, преступники, а также все, кому важно сохранить целостность и конфиденциальность передаваемых данных. В курсе имеется хорошая теоретическая база, а также лабораторный практикум. Вы узнаете, что представляют из себя методы стеганографии, научитесь на практике их применять, познакомитесь с большим количеством инструментов.

Прочитала книгу про китайский фаервол. Она так себе, но нашла смешной кусок про то, как Гугл захватывал китайский рынок, полностью прогнувшись под цензуру, но не сумев учесть специфику. Перевод фаервола (сложившееся в IT наименование) как файрвола для книги - это, конечно, нелепо, в самой книге тоже есть примеры плохого перевода в духе "обратного программирования" (reverse engineering), но история забавная, хотя основная причина неудачи Гугла - это партия Китая. "По мнению Робина Ли и многих других китайцев, Google попался в ту же ловушку, когда выбрал в качестве официального китайского названия вариант транслитерации «Гугэ». Это буквосочетание записывалось двумя иероглифами, означавшими «песня долины» или «песня урожая». (...) «Мы передали название компании двумя китайскими иероглифами с хорошим значением “песня долины”, – писал Ли Кайфу в автобиографии, не упоминая, впрочем, о каких-либо проблемах с китайским названием бренда[258]. Возможно, это название было милым и старомодным для Ли и У, выходцев из зажиточных семей, которые рисовых полей и в глаза-то не видели в течение нескольких поколений. Но для простых китайцев, всеми силами пытающихся прорваться в средний класс, оно звучало высокомерно. Это впечатление только усилилось после выхода рекламы нового названия, выполненной в стиле традиционной китайской каллиграфии:«Наступил посевной сезон, и в честь этого Google берет себе имя “Песня долины”. Зерно станет для нас песней, песней посева и ожидания всходов. А еще это песня радостного сбора урожая. Добро пожаловать в “Гугэ”»[259].«Им казалось, упоминание урожая вызовет у людей радость. Но в то время китайским пользователям этот урожай был до лампочки», – так объяснял годы спустя гендиректор Baidu". В общем, Baidu с помощью партии Китая просто сжали Гугл в крохотную нишу, потому что гораздо удобнее иметь свой поисковик, цензурирующий, что скажут. Мне же интереснее было наблюдать за позорными извиваниями Гугла, которые ради большого рынка были готовы на все.

В связи со взломом одного из моих сайтом, кратко что делать в таких ситуациях:1. Обращение в техподдержку хостинга с просьбой помочь — они сами всё сделают. Либо восстановить просто бекап сайта из резервной копии также на хостинге.2. Пишем своему прогеру / ищем прогера в профильных чатах битрикс, modx или просто идём на кворкПрограммист в идеале: лечит сам вирус, восстанавливает работоспособность сайта, устраняет причины, по которым был взлом и предпринимает меры, чтобы минимизировать риски взлома повторно и в будущем.3. Проверяем корректность, работоспособность сайта после вирусов: когда программист устраняет уязвимости, неисключен нерабочий функционал сайта. Я провожу тех аудит сайта, смотрю вебмастера и иногда вебвизор смотрю что там по поведению пользователей, может где-то некорректная вёрстка.Исправили за 1-2 часа? — всё ок, просадок быть не должно по позициям.Если всё затянулось и сайт уже не доступен свыше 24ч, то на момент лечение сайта: ставим 503 ошибку на весь сайт.Если просто устранили в течение 24 часов, тогда:1. Продолжаем мониторить панели вебмастеров, нет ли уведомлений о вирусах. Если есть — жмём кнопку я всё исправил.2. Отправляем на переиндексацию весь сайт. Если это взлом просто по базе — от Вас отстанут после первого же взлома.Если кто-то из конкурентов целеноправленно пытается Вам насолить, то точно могут быть попытки 2 взлома, поэтому обязательно позаботьтесь о безопасности Вашего сайта:1. Использовать актуальные версии CMS, ядра, темы и шаблоны сайта (если резко побежите обновлять — учитайте, что при обновлении могут слететь некоторый функционал сайта, поэтому предварительно сделайте бекап сайта).2. Не устанавливать левые плагины, обновлять плагины, расширения3. Доступ в админку не по стандартным адресам по типу site.ru/wp-admin, а site.ru/ajshdsajdkhasjdh4. Двухфакторная аутентификация как на хостинг, так и на CMS5. Почитать статью, там 5 пункт про защиту от взлома 6. Настроить регулярные бекапы сайта и баз данныхНа WordPress прекрасный плагин по бекапу, отправляет архив на почту – https://updraftplus.com 7. Защитить сами админки, например, на WordPress это плагин WP Security - https://wpnew.ru/blog/all-in-one-wp-security/8. Поменять все доступы: панель хостинга, SSH/FTP/SFTP, БД, CMS‑аккаунты, почта/SMTP, API‑ключи, OAuth‑токены; включить 2FA везде, где возможно.9. Настроить мониторинг сайта прямо в Telegram при 5xx/всплесках 404/аномальных редиректах.

В школе родителям сказали, что общение переходит на нашумевший отечественный мессенджер. Есть возмутившиеся, мол, данные уходят, мониторят, залазить под колпак. Ну как с чипированием-вакцинированием, ей Богу. Просто эти люди не сидели в одной организации, где напротив сотрудника монитор и зеркально напротив перед тобой «твой» монитор и там все твои транзакции, покупки, весь биллинг по телефонному номеру, вплоть до района, улицы, дома. А все твои странные запросы, ключевые для служб слова в переписках, постах фиксируются нейросетью и программами, выводя тебя в определённый кластер и при достижении критического уровня «особенных слов» напротив загорается флажок - надо понаблюдать внимательнее. Мы уже давно в матрице и обратного хода не предвидится. Поэтому проще всего расслабиться и соблюдать интернет-гигиену, ведь сеть помнит всё, даже удалённое. Я без проблем скачал себе это приложение, пусть мониторят. Единственное, что напрягает - потеря аудитории. Вот в ТГ у меня было 4 тыс, при всём том, что я особенно его не вёл, канал угнали. Сделал второй, сейчас здесь 2,7. Но этого не хватает, чтобы завести канал на Максе, потому как канал в Max могут завести только те, у кого в ТГ, OK, BK больше 10 тыс подписчиков. А в этих сетях у меня нет такого объёма. Есть под 50к, но в запрещённой🫠 Для меня это единственная препона. В остальном - пофиг.

Киберкризис/цифровой апокалипсис поразил Южную КореюИз-за возгорания литий-ионной батареи во время её замены неделю назад сгорели сервера Национальной службы Информационных Ресурсов (NIRS): там хостились все государственные сервисы, базы данных и облачные системы. И вот вся инфраструктура страны стоит уже неделю.Пострадало 647 государственных сервисов. 96 уничтожены полностью.📍Полностью уничтожен местный аналог Госуслуг.📍Полностью уничтожена система идентификации граждан.📍Уничтожен G-Drive, облачное хранилище государственных документов.📍Уничтожена государственная электронная почта.📍Лежат все образовательные, финансовые и административные системы.Уничтожено 858 терабайт данных - все резервные копии хранились на соседнем сервере в том же здании, которое тоже сгорело.Власти Южной Кореи занялись импортозамещением и отказались от Google Drive и подобных систем, чтобы создать свой аналог — G-Drive. Чиновников обязали хранить важные данные только там. Результат убил.Высокопоставленный чиновник, отвечавший за системы, покончил с собой.Уязвимость современной цифровой цивилизации на примере одной из самых продвинутых в этом направлении стран в мире, продемонстрирована этой ситуацией в полной мере. Хорошо ещё, что Южная Корея сейчас не воюет (например - с Кореей Северной), иначе последствия подобной катастрофы могли бы стать для неё необратимыми.

Мошенники стали умнее, а ваша защита? 🛡️Вы можете даже не понять, что стали жертвой, пока не останетесь с нулём на счете. Но у вас есть союзник — ваш банк. Его алгоритмы следят за подозрительными действиями, и их логика часто основана на простых «красных флагах»: 🚩 Вас ведут по непривычному сценариюСнятие средств в необычное для вас время (например, в 5 утра, когда вы обычно спите)Мошенники знают, чтобы вас обмануть, нужно вывести из привычной рутины! 🚩 Деньги уходят нестандартными путямиИспользование нетипичных банкоматов, перевод по странному QR-коду или через виртуальную карту, а не привычным способомЭто обходные манёвры, чтобы усложнить отслеживание🚩 Резко меняется «цифровой след»Взрывной рост СМС-активности с новых номеров за несколько часов до операции. Банки внимательно анализируют такие всплески.Это признак, что мошенник активно готовит операцию, получая коды подтверждения.🚩 Деньги «горят»— переводы свыше 200 тысяч рублей по СБП с последующим снятием наличных.— операции, совершённые в течение суток после получения кредита или увеличения кредитного лимитаЦель мошенника —> быстро получить наличные, пока система не спохватилась.Ваша главная защита — это ваша внимательность. Если внутренний голос говорит: «что-то не так», лучше отложить перевод на 10 минут и всё перепроверить, чем потом месяцами восстанавливать свои деньги🖇️ Поделитесь этим постом с близкими, особенно с теми, кто не в теме технологийА если у вас была похожая ситуация, напишите в комментариях, как распознали обман — ваш опыт бесценен для других! 🤝🏻

Еще немного про безопасность денег и личных данныхВ Южной Корее — цифровой коллапс. Пожар в здании Национальной службы информационных ресурсов уничтожил ключевые серверы IT-инфраструктуры страны. Пострадало 647 госслужб, из них 96 уничтожены полностью.Сгорели:➡️система идентификации граждан,➡️государственные почта и облако G-Drive,❗️аналог Госуслуг — у нас это подтверждение владения недвижимостью,❗️образовательные и финансовые платформы.Сгорело 858 терабайт данных — резервные копии хранились на соседних серверах в том же здании.В России ключевая инфраструктура (где физически хранятся данные, а не через какие витрины они отображаются), на которой держится идентификация, собственность и финансы в России:🆔 Идентификация личностиГИАЦ МВД РФ — все данные о паспортах граждан РФ, заменах, аннулированиях, регистрации, гражданстве.ФИС ФМС / Единая биометрическая система (ЕБС)— фото, подписи, отпечатки пальцев, образцы голоса (для идентификации в банках и госуслугах).ЕГР ЗАГС — рождения, браки, разводы, смерти, смена фамилии, усыновления — все записи актов гражданского состояния.ФНС — ИНН, связь личности с налоговыми и имущественными объектами, цифровую историю налогоплательщика. 💳 Финансовая и банковская инфраструктураЦентральный банк РФ (ЦБ, ГИС ЦБ)Внутренние базы межбанковских расчётов, кредитных историй, лицензий и отчётности банков.Национальная система платёжных карт — обрабатывает все операции Мир, СБП, переводы между банками.ФНС — история всех поступлений и платежей физлиц и организаций в бюджет.🏠 Собственность и недвижимостьРосреестр / ЕГРН — главная база всех прав на недвижимость, кадастровые номера, координаты, собственники, обременения, история перехода права.Федеральная кадастровая палата — техническая база, где физически хранятся цифровые копии всех документов Росреестра и планы участков (загородные дома и дачи тут).🚗 Транспорт и водительские праваФИС ГИБДД — все данные о водительских удостоверениях, транспортных средствах, регистрации, ДТП, штрафах.🧓 Социальные и пенсионные данныеСоциальный фонд России — сведения о стаже, взносах, пенсионных накоплениях, выплатах, пособиях и страховании.Для личной безопасности храним копии оффлайн (бумага и независимые носители):➡️паспорта и СНИЛС,➡️налоговые документы,➡️выписки ЕГРН,➡️трудовая и пенсионная информация,➡️справки о собственности и регистрации,➡️банковские выписки о количестве денег на счетах (хотя бы раз в 2-3 месяца).Живем в таком мире, где облачные данные могут в мгновение обнулиться...🙈#безопасностьфинансов@KKproDengi

По ощущениям, что не была здесь всю жизнь 🙈Очень много всякого происходит, не успеваю рассказывать. Но хочется уже с чего-то начать. Из неприятного - на прошлой недели у меня украли аккаунт в телеграм. Я не могла зайти в свой аккаунт ни с телефона, ни с компьютера, писала в чат поддержки (к слову от неё до сих пор нет ответа). После десятков попыток мне удалось прервать все сессии, но потом я всё равно вылетела из системы и число попыток входа превысило допустимые возможности. Мне посоветовали удалить телеграмм и установить его заново - это помогло. Я сразу установила двухфазную систему защиты и всем советую поступить так же. Тем временем мошенники, использовали мои кружочки из переписки и сгенерированные голосовые переписывались с моими контактами и просили перевести деньги на сторонние карточки и номера 🙈 при этом писали очень убедительно, старались поддерживать разговор. Это противно очень!!! Я переживала, что больше не увижу свой канал и в ТГ вся моя связь с родителями моих учеников. Хорошо, что им не писали, но никто не застрахован. Этот случай, заставил меня пересмотреть своё отношение к мессенджерам, как способу хранения информации. Я итак уже присмотрела стороннюю платформу и приступила к сбору контактов, в современных реальностях это становится необходимым условием для преподавания. И даже в этой ситуации есть плюсы, потому что платформа поможет добивать интерактивности для детей и большей прозрачности для родителей. Осваиваю и планомерно готовлю переезд. А что у вас? Есть ощущение, что учебный год вообще уже в разгаре? У меня - да!

Как хакеры сегодня ломают ваш бизнес, и как защититься Применение злоумышленниками социальной инженерии в связке с ИИ, возможности которого только растут, делает классические методы киберзащиты недостаточными.Поэтому в недавнем докладе, с которым выступал на форуме о будущем городов БРИКС «Облачные города» предложил «3D-фреймворк» для обеспечения комплексной защиты: Design, Defaults, Discipline. В чем суть?Design — ваш первый рубеж обороны — это UX-среды, с которой работает сотрудник. Ее задача в том, чтобы подавить импульсивное действие, которого добиваются мошенники. Тут можно внедрить UX-паттерн «Pause-to-share» — страницу, появляющуюся перед переходом по подозрительной ссылке, с вопросами про источник сообщения, домен и давление. Или просто с плашкой-предупреждением «Остановись, подумай».Defaults — техническая составляющая: настройки безопасности, принципы нулевого доверия при выдаче доступов, регулярная смена паролей, MFA, Passkeys, корпоративный VPN, «второй канал» для подтверждения критичных операций и так далее.Discipline — обучение сотрудников: регламенты, тренинги, плейбук «Первые 60 минут» для SOC и PR (для синхронизации совместных действий отделов безопасности и коммуникаций). Если думаете, что и c «2D» будет норм, то нет, не будет: 91% атак на корпоративные сети начинается с того, что сотрудников запутали, запугали и заставили сделать критическую ошибку. Ошибку, которая может стать причиной вашего банкротства. Потому что, если раньше хакеры атаковали уязвимости в ПО, и достаточно было совершенствовать периметр ИБ антивирусными системами, то сейчас главная уязвимость — сотрудники, которых вы не обучили ИБ.Если говорить о самом форуме «Облачные города», то это было весьма насыщенное на инсайты мероприятие: делегации из 21 страны, множество экспертов мирового уровня — обсудить будущее кибербезопасности городов было максимально интересно. Спасибо организаторам за такую возможность!#мероприятия NOTскромность | IT, бизнес и лидерство

Что будет, когда тысячи взломанных роботов начнут действовать как единое целое?Специалисты раскрыли новую критическую уязвимость в беспроводной процедуре настройки сети у роботов Unitree — проблема получила название UniPwn и подробно описана 20 сентября. Уязвимость затрагивает квадропеды моделей Go2 и B2, а также гуманоидов G1 и H1, позволяя злоумышленнику получить полный контроль с правами root через Bluetooth Low Energy. По оценке IEEE Spectrum, это первый публичный эксплойт, нацеленный на коммерческую платформу-гуманоид.Технически атака опирается на механизм первичной привязки к Wi-Fi через BLE. Сообщения на этом этапе действительно шифруются, однако ключи оказались жёстко прописаны в прошивке и попали в открытый доступ ещё в июле. Аутентификация устроена так, что достаточно зашифровать строку «unitree» этими ключами — робот посчитает устройство доверенным. После этого в полях SSID и пароля можно передать произвольный текст, который система интерпретирует и выполнит с повышенными правами во время попытки подключения к сети. В демонстрации исследователи показали удалённую перезагрузку как простейший пример; при желании можно прописать троян в автозапуск, препятствовать установке обновлений и тайно выносить данные.Ключевая опасность в том, что эксплойт беспроводной — скомпрометированный робот легко сканирует эфир, находит другие Unitree в зоне действия BLE и автоматически заражает их, формируя самораспространяющийся ботнет. Такая «червеобразная» эпидемия требует лишь физической близости устройств и не подразумевает взаимодействия владельца.Авторы находки обнаружили уязвимость в мае и пытались уведомить производителя; к июлю коммуникация со стороны Unitree прервалась, и к дате публичного раскрытия проблема оставалась в прошивке. Вопрос причинности остаётся открытым: по мнению исследователей, недопустимая практика с жёсткими ключами и слабой валидацией может быть следствием халатности, но даже в этом случае риск не меньше, чем при преднамеренном бэкдоре.К критике присоединился специалист Alias Robotics, который ранее выявлял у Unitree передачу телеметрии на серверы в Китае, способную включать аудио, видео и пространственные данные. Он отмечает, что доступность и низкая цена платформ делают их распространённой целью — уязвимости быстро обретают практическое значение, особенно когда устройства используются в публичных службах. В частности, известны тесты модели Go2 в полиции графства Ноттингемшир, Великобритания, причём попытки предупредить ведомство заранее не увенчались успехом.В краткосрочной перспективе для защиты рекомендуют физически изолировать роботов в отдельные Wi-Fi-сегменты и отключать Bluetooth. Долговременное решение зависит от производителя: требуется убрать жёстко заданные секреты, пересмотреть процедуру аутентификации и обеспечить строгую проверку входных данных на этапе конфигурации. При этом отмечается, что полностью устранить риск невозможно — сложность современных гуманоидов и широта их поверхности атаки оставляют поле для новых находок.Широкий контекст важен: Unitree не единственный вектор риска, и аналогичные ошибки могут обнаружиться в других коммерческих платформах. Последствия одного заметного взлома выйдут за рамки отдельных моделей и подорвут доверие к отрасли, поскольку неконтролируемый робот способен причинить реальный физический вред.